目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1000

100.0%
请我们喝杯咖啡

CWE-130 长度参数不一致性处理不恰当 类漏洞列表 71

CWE-130 长度参数不一致性处理不恰当 类弱点 71 条 CVE 漏洞汇总,含 AI 中文分析。

CWE-130属于长度参数不一致漏洞,指程序解析数据时未正确处理长度字段与实际数据长度不匹配的情况。攻击者通过篡改输入的长度参数,使其与实际数据不符,诱导应用程序执行意外行为,如缓冲区溢出或逻辑错误。开发者应严格验证长度字段与数据实际长度的一致性,并在解析前进行边界检查,确保数据完整性,从而防止此类漏洞被利用。

MITRE CWE 官方描述
CWE:CWE-130 长度参数不一致处理不当 (Improper Handling of Length Parameter Inconsistency) 英文:产品解析格式化消息或结构,但未处理或错误处理与实际关联数据长度不一致的长度字段 (length field)。 如果攻击者能够操纵与输入关联的长度参数 (length parameter),使其与输入的实际长度不一致,则可以利用此漏洞导致目标应用程序以意外的、甚至可能是恶意的行为方式运行。这样做的可能动机之一是向应用程序传入任意大小的输入。另一种可能的动机是通过为应用程序的后续属性包含无效数据来修改应用程序状态。此类弱点通常会导致缓冲区溢出 (buffer overflows) 和任意代码执行 (execution of arbitrary code) 等攻击。
常见影响 (1)
Confidentiality, IntegrityRead Memory, Modify Memory, Varies by Context
缓解措施 (3)
ImplementationWhen processing structured incoming data containing a size field followed by raw data, ensure that you identify and resolve any inconsistencies between the size field and the actual size of the data.
ImplementationDo not let the user control the size of the buffer.
ImplementationValidate that the length of the user-supplied data is consistent with the buffer size.
代码示例 (1)
In the following C/C++ example the method processMessageFromSocket() will get a message from a socket, placed into a buffer, and will parse the contents of the buffer into a structure that contains the message length and the message body. A for loop is used to copy the message body into a local character string which will be passed to another method for processing.
int processMessageFromSocket(int socket) { int success; char buffer[BUFFER_SIZE]; char message[MESSAGE_SIZE]; // get message from socket and store into buffer //Ignoring possibliity that buffer > BUFFER_SIZE if (getMessage(socket, buffer, BUFFER_SIZE) > 0) { // place contents of the buffer into message structure ExMessage *msg = recastBuffer(buffer); // copy message body into string for processing int index; for (index = 0; index < msg->msgLength; index++) { message[index] = msg->msgBody[index]; } message[index] = '\0'; // process message success = processMessage(message); } return success; }
Bad · C
CVE ID标题CVSS风险等级Published
CVE-2026-5766 ASGI请求通过文件上传限制绕过潜在的服务拒绝漏洞 — Django 5.3 Medium2026-05-05
CVE-2026-33846 GnuTLS DTLS握手分片重组堆溢出致服务拒绝漏洞 — Red Hat Hardened Images 7.5 High2026-05-04
CVE-2026-3868 Moxa EDR-8010 Series和Moxa EDR-G9010 Series 安全漏洞 — EDR-8010 Series 7.5AIHighAI2026-04-27
CVE-2026-5265 OVN 安全漏洞 — Fast Datapath for Red Hat Enterprise Linux 8 6.5 Medium2026-04-24
CVE-2026-5367 OVN 安全漏洞 — Fast Datapath for Red Hat Enterprise Linux 8 8.6 High2026-04-24
CVE-2026-41035 Rsync 安全漏洞 — rsync 7.4 High2026-04-16
CVE-2026-33555 HAProxy 安全漏洞 — HAProxy 4.0 Medium2026-04-13
CVE-2026-40199 Net-CIDR-Lite 安全漏洞 — Net::CIDR::Lite 7.5 -2026-04-10
CVE-2026-34831 Rack 安全漏洞 — rack 4.8 Medium2026-04-02
CVE-2026-25572 Siemens SICAM SIAPP SDK 安全漏洞 — SICAM SIAPP SDK 5.1 Medium2026-03-10
CVE-2026-25571 Siemens SICAM SIAPP SDK 安全漏洞 — SICAM SIAPP SDK 5.1 Medium2026-03-10
CVE-2025-48022 Yokogawa Electric Vnet/IP Interface 安全漏洞 — Vnet/IP Interface Package 7.5AIHighAI2026-02-13
CVE-2025-14847 MongoDB Server 安全漏洞 — MongoDB Server 7.5 High2025-12-19
CVE-2025-8531 Mitsubishi Electric MELSEC-Q Series 安全漏洞 — MELSEC-Q Series Q03UDVCPU 6.8 Medium2025-09-19
CVE-2025-10458 Zephyr 安全漏洞 — Zephyr 7.6 High2025-09-19
CVE-2025-5514 Mitsubishi Electric MELSEC iQ-F Series CPU 安全漏洞 — MELSEC iQ-F Series FX5U-32MT/ES 5.3 Medium2025-08-25
CVE-2025-54646 Huawei HarmonyOS和Huawei EMUI 安全漏洞 — HarmonyOS 5.1 Medium2025-08-06
CVE-2023-53157 Rosenpass 安全漏洞 — rosenpass 5.3 Medium2025-07-27
CVE-2025-52949 Juniper Networks Junos OS和Juniper Networks Junos OS Evolved 安全漏洞 — Junos OS 6.5 Medium2025-07-11
CVE-2025-53604 web-push crate 安全漏洞 — web-push 4.0 Medium2025-07-05
CVE-2025-23247 NVIDIA CUDA toolkit 安全漏洞 — NVIDIA CUDA Toolkit 4.4 Medium2025-05-27
CVE-2025-29784 NamelessMC 安全漏洞 — Nameless 7.5 High2025-04-18
CVE-2025-29931 Siemens TeleControl Server Basic 安全漏洞 — TeleControl Server Basic 3.7 Low2025-04-17
CVE-2025-30659 Juniper Networks Junos OS SRX 安全漏洞 — Junos OS 7.5 High2025-04-09
CVE-2025-32366 ConnMan 安全漏洞 — ConnMan 4.8 Medium2025-04-05
CVE-2024-53856 rPGP 安全漏洞 — rpgp 7.5 High2024-12-05
CVE-2024-47293 Huawei HarmonyOS 安全漏洞 — HarmonyOS 4.7 Medium2024-09-27
CVE-2024-20416 Cisco RV340 和 Cisco RV345 安全漏洞 — Cisco Small Business RV Series Router Firmware 6.5 Medium2024-07-17
CVE-2024-38010 Microsoft Windows Secure Boot 安全漏洞 — Windows 10 Version 1809 8.0 High2024-07-09
CVE-2024-38011 Microsoft Windows Secure Boot 安全漏洞 — Windows 10 Version 1809 8.0 High2024-07-09

CWE-130(长度参数不一致性处理不恰当) 是常见的弱点类别,本平台收录该类弱点关联的 71 条 CVE 漏洞。